Nowe unijne Prawo ochrony danych osobowych: ważne zmiany dla przedsiębiorców i podmiotów publicznych

W 2018 r. przedsiębiorców i podmioty publiczne czekają istotne zmiany związane z ochroną danych osobowych. Z uwagi na przewidywane dotkliwe sankcje, należy zaplanować i podjąć odpowiednie działania w celu przygotowania organizacji do nowego prawa.

Nowe regulacje od 25 maja 2018

Celem unijnego rozporządzenia ogólnego o ochronie danych osobowych (RODO) jest zagwarantowanie wysokiego poziomu ochrony danych osobowych obywateli UE. RODO będzie stosowane bezpośrednio od 25 maja 2018 r. oraz będzie kształtowało obowiązki w zakresie ochrony danych osobowych osób fizycznych, przetwarzanych przez organy i podmioty publiczne oraz przedsiębiorców zarówno z UE, jak i działających na rynku unijnym, nawet jeśli nie posiadają jednostek organizacyjnych na terenie UE.

W związku z uchwaleniem RODO zmienią się również polskie przepisy o ochronie danych osobowych, zawarte w ustawie o ochronie danych osobowych oraz tzw. przepisach sektorowych. Przepisy te będą głównie uzupełniać postanowienia RODO, wprowadzają też jednak nowe rozwiązania. Organem nadzorczym w zakresie ochrony danych osobowych nie będzie już Generalny Inspektor Danych Osobowych, ale zostanie powołany nowy organ – Prezes Urzędu Ochrony Danych Osobowych.

Ponadto, razem z RODO ma wejść w życie rozporządzenie e-privacy, które będzie miało wpływ na obowiązki związane ze świadczeniem usług łączności online (przykładowo za pośrednictwem komunikatorów internetowych) i innych usług świadczonych drogą elektroniczną. W szczególności zmienią się wymogi dotyczące działalności marketingowej w Internecie, przepisy dotyczące plików cookies i ochrony przed spamem.

RODO dotyczy każdego podmiotu

Zmiany wprowadzone przez RODO dotyczą każdej organizacji, która przetwarza dane osobowe. Znowelizowane przepisy będą miały wpływ na czynności gromadzenia i wykorzystywania danych pracowników, klientów oraz niektórych kontrahentów. Konieczne będzie więc sprawdzenie, w jakich warunkach i na jakiej podstawie są przetwarzane dane osobowe tych osób, w szczególności przegląd i do-stosowanie zgód na przetwarzanie danych i klauzul informacyjnych. Weryfikacji wymagają m.in. czynności takie jak monitoring pracowników, przebieg procesów rekrutacyjnych, a także przesyłanie newsletterów i informacji handlowych. Warto również skontrolować treści zamieszczane na stronach internetowych i portalach społecznościowych. Na pod-stawie nowych przepisów przewiduje się również pewne zmiany w zakresie przetwarzania danych w ramach grup kapitałowych. Przykładowo dopuszczalne będzie wspólne ustalanie celów i sposobów przetwarzania danych przez dwie lub więcej spółek należących do grupy kapitałowej (tzw. współadministrowanie).

RODO zmienia podejście do ochrony danych osobowych. Odpowiednia ochrona danych musi zostać uwzględniona już w fazie projektowania działań podejmowanych przez organizację. Wymagane jest również, aby domyślnie były przetwarzane tylko te dane, które są niezbędne. W tym celu konieczne jest zaadaptowanie odpowiednich środków technicznych i organizacyjnych. Oznacza to konieczność audytu i przystosowania systemów IT, a także prze-prowadzenia szkoleń dla pracowników w zakresie ochrony danych osobowych. Ponadto niektóre pod-mioty (m.in. podmioty zatrudniające co najmniej 250 osób lub świadczące usługi medyczne) będą miały obowiązek rejestracji czynności przetwarzania danych. Z kolei naruszenia danych osobowych trzeba będzie zgłaszać w ciągu 72 godzin właściwemu organowi nadzorczemu. Na niektóre podmioty zostanie nałożony obowiązek powołania inspektora ochrony danych. Dotyczy to przede wszystkim podmiotów publicznych oraz niektórych przedsiębiorców z sektora prywatnego, m.in. przedsiębiorców telekomunikacyjnych, prywatnych zakładów opieki zdrowotnej, czy ubezpieczycieli.

Obowiązki wynikające z RODO będą dotyczyły także niektórych podmiotów spoza terytorium UE. Chodzi tu o podmioty, które oferują towary lub usługi obywatelom UE lub monitorują ich zachowanie (przykładowo poprzez profilowanie lub śledzenie użytkowników w sieci). Samo udostępnienie w UE strony internetowej przez takiego przedsiębiorcę nie jest traktowane jak kierowanie oferty.

Wysokie kary za nieprzestrzeganie

Niedostosowanie się do RODO w terminie do 25 maja 2018 r. oznacza ryzyko nałożenia wysokich kar pieniężnych, a także ponoszenia kosztów związanych z ewentualnymi postępowaniami sądowymi. W związku z powszechnym rozpowszechnieniem informacji o nowych przepisach w zakresie ochrony danych osobowych i coraz większą świadomością osób fizycznych o przysługujących im prawach, niedostosowanie się do przepisów RODO naraża przedsiębiorców również na utratę reputacji.

Sankcje przewidziane przez RODO mają być skuteczne i odstraszające. W zależności od rodzaju naruszeń kary pieniężne mogą wynieść aż 20 milionów euro, a w przypadku przedsiębiorstwa – do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie znajdzie kwota wyższa. Ponadto, osoby fizyczne mogą kierować do przedsiębiorców nieprzestrzegających RODO roszczenia odszkodowawcze, które mogą sięgać wysokich kwot.


W przypadku pytań czy wątpliwości związanych z nowymi regulacjami zachęcamy do kontaktu ze specjalistami z Kancelarii SDZLEGAL SCHINDHELM - Tomaszem Szarkiem, Aleksandrą Baranowską-Górecką i Anną Materlą.